Red Hat Summit23.4. スマートカード認証用のユーザー名 Hint ポリシーの設定
Identity Management 管理者は、複数のアカウントにリンクしたスマートカードの ユーザー名ヒント ポリシーを設定できます。
23.4.1. Identity Management のユーザー名ヒント
ユーザー名ヒントポリシーは、スマートカードユーザーにユーザー名を要求するように Identity Management を設定します。ユーザーが、Identity Management の複数のユーザーアカウントに一致するスマートカード証明書で認証を試みると、以下のいずれかが発生します。
- ユーザー名のヒントポリシーを有効にすると、ユーザーにはユーザー名の入力が求められ、認証に進むことができます。
- ユーザー名のヒントポリシーが無効になっていると、認証情報を要求せずに認証に失敗します。
Identity Management は、ユーザー名を求めずに、デフォルトでスマートカード PIN を要求するアプリケーションにユーザー名ヒントを追加します。Red Hat Enterprise Linux では、現在 Gnome Desktop Manager(GDM) ログインのみが対象になります。
図23.14 Gnome Desktop Manager のユーザー名ヒント
Identity Management は、デフォルトでユーザー名を尋ねるアプリケーションにユーザー名ヒントを追加しません。以下に例を示します。
- GUI は常に
Usernameフィールドを表示するため、Identity Management の Web UI 認証 sshは、-lオプションまたはusername@host形式で提供された現在のユーザーのログイン名または名前を使用するため、ssh認証- コンソール認証。ログイン名は常に指定されます。
このような状況では、複数のユーザーに一致する証明書を使用した認証が常に許可されます。
23.4.2. Identity Management での User Name Hints の有効化
Identity Management 管理者は、ユーザー名ヒントポリシーを一元的に設定します。このポリシーは、Identity Management ドメインに登録されている全ホストに適用されます。
Identity Management システムで以下の手順を実行します。
コマンドライン: Identity Management での User Name Hints の有効化
- Identity Management 管理者としてログインします。
$ kinit admin Password for admin@IDM.EXAMPLE.COM: --promptusername=Trueオプションを指定して ipa certmapconfig-mod コマンドを使用して、ユーザー名ヒントを有効にします。$ ipa certmapconfig-mod --promptusername=TRUE Prompt for the username: TRUEユーザー名のヒントを無効にするには、--promptusername=Falseオプションを使用します。
Web UI: Identity Management での User Name Hints の有効化
をクリックします。 - Prompt for the username を選択し、 をクリックします。
図23.15 Web UI でユーザー名ヒントの有効化
関連情報
- ipa certmapconfig-mod コマンドの詳細は、
--helpオプションを指定して実行します。
